fracta.

scanner passivo · headers · TLS · cookies · LGPD

O que o seu SaaS entrega
antes mesmo do login.

O Fracta lê os headers de segurança, o TLS, as flags de cookie e sinais de LGPD do seu site — só com requisições passivas. Nota A–F na hora, detecção determinística (sem palpite de IA), e dizemos quando não conseguimos verificar.

Apenas GETs passivos. Não escaneamos endereços internos/privados.

12 SaaS auditados na nossa frota · open-source · sem cadastro · grátis

amostra · relatório passivo

api.exemplo.com.br

C68/100
  • strict-transport-securityausente · high
  • x-content-type-optionsnosniff
  • x-frame-optionsSAMEORIGIN
  • set-cookie · Secure/HttpOnlysem flags · low
  • x-powered-byExpress exposto · low
  • política de privacidade (LGPD-lite)não verificado

a última linha não foi verificada — e por isso não conta como aprovada.

como funciona

URL
SSRF guard
HEADERS · TLS · cookies · LGPD
nota A–F
link compartilhável

Toda URL passa por um SSRF guard que valida o IP real no momento da conexão (bloqueia interno/privado/metadata, inclusive via redirect). Só então rodam os checks passivos.

medimos

  • Security headers — HSTS, X-Content-Type-Options, X-Frame-Options, Referrer/Permissions-Policy, CORS.
  • TLS / HTTPS — o alvo força HTTPS e responde com TLS válido.
  • Flags de cookie — Secure, HttpOnly, SameSite nos Set-Cookie.
  • LGPD-lite (beta) — sinais de política de privacidade. Heurístico e rotulado.

não medimos

  • Nada de ataque ativo — sem IDOR, SQLi, brute-force. Rodar isso contra uma URL de terceiro é invadir, não auditar.
  • Sem login — só a superfície pública. O que está atrás de auth é CLI, com prova de propriedade.
  • Sem “100% seguro” — passivo vê uma fatia. Um A aqui é um bom sinal, não um certificado.
  • Ausência de achado ≠ seguro — se um check não roda, ele aparece como não verificado.

por que confiar

determinístico

A mesma engine do CLI open-source. Regras, não alucinação de IA — o mesmo achado dá sempre o mesmo resultado.

segurança × LGPD

Construído por um advogado que opera uma frota de legaltech. Segurança técnica cruzada com LGPD de verdade.

honesto por design

Um check que não roda nunca vira verde. Alvo fora do ar fica inconclusivo — sem nota, sem fingimento.

ecossistema ZAP-API — ponte WhatsApp ↔ seu SaaS, feita por quem também construiu o Fracta.conhecer →